การโจมตี IE Zap Zero-Day ก่อนที่คุณจะโดนคุณ

ฉันรู้สึกท้อแท้บางอย่างที่ฉันเขียนคอลัมน์นี้เพราะหลังจากเขียน Bugs & Fixes เป็นเวลาแปดปีครึ่ง - 102 คอลัมน์ทั้งหมด - ถึงเวลาแล้วที่ฉันจะเซ็นชื่อ ปิด ฉันมีความสุขกับการเขียนหนังสือของคุณตลอดหลายปีที่ผ่านมาและฉันรู้สึกซาบซึ้งที่ PC World ทำให้ฉันมีโอกาสที่จะทำเช่นนั้น

ฉันเคยมีเป้าหมายอยู่ 2 ประการ: ช่วยคุณ ปัดป้องภัยคุกคามในปัจจุบันและให้ข้อมูลที่เป็นประโยชน์เกี่ยวกับวิธีการรักษาความปลอดภัยหลุมและการโจมตีพวกเขาทำงานดังนั้นคุณจะได้เตรียมที่ดีขึ้นเพื่อรับมือกับปัญหาในอนาคต ฉันหวังว่าฉันจะบรรลุเป้าหมายอย่างน้อยที่สุด ตอนนี้เป็นพ่อของฉันกลับมาอยู่ในรัฐมอนทานาเคยกล่าวว่า "nuff กล่าว"

ข้อบกพร่องเหล่านี้เดินขบวนไปแม้ว่าและในเดือนนี้ก็ไม่มีข้อยกเว้น เริ่มต้นใช้งาน Microsoft

[อ่านเพิ่มเติม: วิธีลบมัลแวร์ออกจากเครื่องพีซีที่ใช้ Windows ของคุณ]

แม้จะเพิ่งมีการแก้ไขข้อบกพร่องเพิ่มเติมซึ่งรวมถึง 23 ช่องโหว่ที่สำคัญกว่าที่เคยมีในช่วงเวลาเดียวในช่วงห้าปีที่ผ่านมา (รวมถึง IE 8 Beta 2)

ข้อผิดพลาดดังกล่าวก่อให้เกิดการโจมตีแบบ zero-day แบบออนไลน์อย่างรวดเร็วโดยที่คนร้ายผ่านทางเว็บก่อนที่ไมโครซอฟต์ ได้พัฒนาแพทช์หรือแก้ไขปัญหาใด ๆ

ข้อผิดพลาดนี้มีผลกระทบต่อฟังก์ชันสำคัญที่เรียกว่า "data binding" ที่ IE อาศัยอยู่ในการจัดการกับภาษาบนเว็บที่เรียกว่า XML; หลุมเกี่ยวข้องกับความล้มเหลวของหน่วยความจำฟรีอย่างถูกต้องเมื่อมันไม่จำเป็นอีกต่อไป

โปรแกรมที่เป็นอันตรายสามารถใช้ประโยชน์จากข้อผิดพลาดโดยการโหลดรหัสของตัวเองลงในหน่วยความจำส่วนเกินเพื่อที่จะรับเครื่องคอมพิวเตอร์ของคุณ หากคุณเข้าเยี่ยมชมไซต์ที่ติดคุกหรือถูกคลิกลิงก์ที่เป็นพิษในอีเมลแม้ว่าการตั้งค่าระดับความปลอดภัยของ IE ไม่ให้เกินขีด จำกัด ก็จะหยุดลง

นักพัฒนาซอฟต์แวร์ของ Microsoft ได้รีบทำการแก้ไขเพื่อเสียบรู ความพยายามเอาสัปดาห์; ขณะที่การโจมตีแพร่กระจาย อย่าทำให้ฉันผิดพลาด: การแก้ไขที่สำคัญในเวลาเพียงแปดวันก็ไม่ได้เป็นเพลงที่มีขนาดเล็ก และไมโครซอฟท์ตระหนักดีว่าภัยคุกคามนั้นน่ากลัวพอที่จะทำให้มีการออกแพทช์ "out-of-cycle" แทนที่จะรอ "Patch Tuesday" ครั้งต่อไป "

เนื่องจากไมโครซอฟต์ไม่ต้องการออกแพทช์ ให้แก้ไข IE เป็น "การปรับปรุงที่สะสม" นี่เป็นข้อบ่งชี้ว่าทีมรักษาความปลอดภัยของไมโครซอฟต์คิดว่าข้อผิดพลาดนี้เป็นอย่างไร

เนื่องจากการโจมตีเกิดขึ้น "อยู่ในสภาพป่า" Microsoft ขอเรียกร้องให้คุณได้รับโปรแกรมแก้ไข ASAP (ถ้าคุณไม่ได้เปิดใช้งานการปรับปรุงอัตโนมัติ) จากกระดานข่าวความปลอดภัยของ Microsoft MS08-078 page.

More Bugs Microsoft

ข้อบกพร่องอื่น ๆ อีก 23 ข้อ? ก่อนที่จะมีการโจมตี zero-day Microsoft ได้ออกแพทช์สะสมสำหรับ IE ซึ่งแก้ไขสี่ช่องโหว่ใน IE เวอร์ชัน 5.01 (บน Windows 2000) SP4) ผ่านทาง IE7 (บน Vista SP1) จุดอ่อนหลายประการมีความคล้ายคลึงกับหลุมโจมตี zero-day

ไม่เหมือนช่องโหว่ของไมโครซอฟท์ซึ่งไม่มีช่องโหว่ 23 ช่องโหว่ที่ถูกโจมตี ตามปกติอย่าขยันหมั่นเพียรในการปรับปรุงข้อมูลอัปเดตให้ทันสมัยอยู่เสมอ คลิกไปที่กระดานข่าวความปลอดภัยของ Microsoft MS08-073 เพื่อดูข้อมูลเพิ่มเติมและเชื่อมโยงไปยังแพทช์ ไมโครซอฟท์ยังติดตั้งช่องโหว่สองช่องในอินเทอร์เฟซอุปกรณ์กราฟิกของ Windows ซึ่งช่วยให้โปรแกรมสามารถแสดงข้อความและกราฟิกในรูปแบบ Windows Metafile ซึ่งเป็นรูปแบบไฟล์ที่ใช้กันโดยทั่วไปสำหรับงานศิลปะภาพประกอบและงานนำเสนอ คุณอาจคิดว่าคุณกำลังโหลดภาพเมื่อในความเป็นจริงแล้วคุณถูกบุกรุกแล้วตามปกติจะถูกโจมตีทุกสิ่งที่คุณต้องทำก็คือไปที่เว็บไซต์ที่เป็นอันตรายหรือคลิกที่ลิงก์ไปในอีเมล -mail

หากคุณยังไม่ได้รับการอัปเดตโดยอัตโนมัติโปรดดูที่ Microsoft Security Bulletin MS08-071 สำหรับข้อมูลเพิ่มเติมและลิงก์ไปยังโปรแกรมแก้ไข

อีกสองหลุม - ครั้งนี้ใน Windows Search for Windows Vista- อาจทำให้สูญเสียการควบคุมพีซีของคุณได้อย่างสมบูรณ์ เช่นเดียวกับข้อผิดพลาดของ IE ช่องใดช่องหนึ่งใน Search จะเปิดขึ้นเมื่อพยายามปลดปล่อยหน่วยความจำที่ใช้ก่อนหน้านี้ Vista มีความสามารถที่เรียกว่า Windows Search ซึ่งจะจัดทำดัชนีระบบของคุณเพื่อให้ได้ผลการค้นหาที่รวดเร็วขึ้นและเพื่อให้คุณเก็บการค้นหาเพื่อนำมาใช้ใหม่ในภายหลัง วิธีการหนึ่งที่ใช้งานข้อบกพร่องคือการกระตุ้นให้คุณเปิดและบันทึกไฟล์การค้นหาที่ต้องการโดยทำตามลิงก์ที่ผิดพลาดในอีเมลหรือในไซต์ที่ติดคุกกี้ ทั้งหมดที่ติดอยู่ในโคลนที่ยังคงใช้ Windows XP มีความปลอดภัย ระบบ Vista เท่านั้น (รวมถึง SP1 และ SP2 Beta) อยู่ในภาวะเสี่ยง ดูข้อมูลเพิ่มเติมจากกระดานข่าวความปลอดภัยของ Microsoft MS08-075

ดังที่พวกเขาพูดในทีวี: แต่รอมีมากขึ้น! ไมโครซอฟท์ยังติดตั้งบั๊กจำนวนมากใน Office รวมถึงข้อผิดพลาดสำคัญ ๆ ที่มีผลต่อ Word 2007 อ่านเพิ่มเติมเกี่ยวกับข้อบกพร่องเหล่านี้ทั้งหมดและโปรแกรมแก้ไขได้ที่หน้าสรุปความปลอดภัยของ Microsoft Security Bulletin ประจำเดือนธันวาคม 2551

Killing Off Firefox 2

การโจมตี zero-day ล่าสุดได้กระตุ้นให้ผู้เชี่ยวชาญบางคนต่ออายุคำแนะนำของพวกเขาที่ผู้ใช้ IE เปลี่ยนเป็น Firefox ในขณะที่ฉันไม่เห็นด้วยกับคำแนะนำดังกล่าวแฮกเกอร์มักให้ความสนใจกับ Firefox มากขึ้นเรื่อย ๆ เพื่อหาช่องโหว่มากขึ้นเนื่องจากมีส่วนแบ่งตลาดกับ IE

เพื่อรักษาความปลอดภัยของ Firefox ให้ดีขึ้น folks at Mozilla ได้รวบรวมการปรับปรุงใหม่สำหรับเบราว์เซอร์ที่แพทช์ชุดของหลุมรักษาความปลอดภัยหลายคนที่สำคัญ บั๊กหนึ่งตัวอาศัยอยู่ในคุณลักษณะการเรียกคืนเซสชันของเบราว์เซอร์ บางคนอาจปล่อยให้ผู้บุกรุกใช้ประโยชน์จากช่องโหว่ใน JavaScript ของ Firefox (ภาษาโปรแกรมเว็บยอดนิยม) เพื่อให้ผู้บุกรุกใช้คอมพิวเตอร์ของคุณ

รุ่นนี้ - Firefox 2.0.0.20 - จะเป็นการปรับปรุงความปลอดภัยขั้นสุดท้ายสำหรับ Firefox 2 บรรทัดเจ้าหน้าที่ Mozilla ประกาศในบล็อกโพสต์ ทำไม? การสนับสนุนฐานรหัสเพียงอย่างเดียวทำให้ Mozilla ขอให้ผู้ใช้ย้ายไปยัง Firefox 3 (ปัจจุบันอยู่ในเวอร์ชัน 3.0.5) แปดแพทช์ใหม่จะมีผลกับทั้ง 2 เวอร์ชันและรุ่น 3

หากคุณยังไม่ได้อัปเดตการติดตั้งผ่านคุณลักษณะการอัปเดตอัตโนมัติของ Firefox คุณสามารถดาวน์โหลดได้ที่หน้าดาวน์โหลด Firefox ของ Mozilla จากเบราว์เซอร์ให้เลือก

ความช่วยเหลือตรวจสอบการอัปเดต นั่นคือสำหรับฉัน ฉันหวังว่าจะได้พบคุณอีกครั้งในบางครั้งไกลออกไปทางด่วนทางข้อมูล